警察云取證與公民隱私保護的法律問題研究
——以司法判例和相關學說為考察對象

高榮林

（湖北警官學院 法律系，武漢 430034）

數字網絡時代，免費成了主旋律，這與“天下沒有免費的午餐”是相悖的。究其實質，我們正在用個人隱私信息換取免費網絡服務。美國前總統奧巴馬曾經說過，你不能在擁有100%安全的情況下，同時擁有100%隱私和100%便利，即同時實現完全的安全、隱私和便利幾乎是不可能的［1］。雖然不能百分百地保障個人的隱私安全，但是，我們還是認為個人或團體在接受云服務時，對其傳輸或存儲的數據享有“合理”的隱私期待。因此，為了保護公民的云隱私，警方在進行云取證時一般需申請數字搜查令，否則，其獲取的證據可能會因為侵犯公民隱私而被依法排除。

一、基本問題的界定

關于云計算的含義，根據百度百科“云計算”詞條［2］，云計算（cloud computing）是基于互聯網相關服務的增加、使用和交付模式，通常涉及通過互聯網來提供動態、易擴展且經常是虛擬化的資源。

根據百度百科“云存儲”詞條［3］，云存儲是在云計算概念上延伸和發展出來的一個新的概念。簡單來說，云存儲就是將儲存資源放到云上供人存取的一種新興方案。使用者可以在任何時間、任何地點，通過任何可聯網的裝置，連接到云上方便地存取數據。其主要用途有三個，即數據備份、歸檔和災難恢復。

云計算、云存儲在給云用戶帶來便利的同時，也存在諸多隱患，比如，數據安全問題、版權風險問題、商業秘密保護問題以及個人隱私信息保護問題等。其中用戶最關注的無疑是隱私保護問題，因為云計算不僅提供計算服務，而且還提供云存儲服務。雖然云計算中使用的數據對于數據權利人以外的其他人是保密的，但是對于提供云服務的商業機構而言卻是一覽無遺的?？梢哉f，云隱私能否得到保護，是云用戶是否選擇云服務時不得不考慮的一個重要因素。

學界一般認為，云計算的隱私風險有以下幾種：“一是數據隔離風險，即不同云用戶隱私信息之間的混同，這就要求云服務提供者應該做到有效的隔離和加密保護，防止云用戶的隱私信息遭受非法訪問。二是數據完整性風險，即云用戶存儲和傳輸隱私信息的完整性等遭到破壞帶來的風險。三是數據殘留風險，即隱私信息不完全的刪除，維修和報廢硬盤設備導致隱私信息的泄露所帶來的風險。四是用戶隱私風險，即與云用戶身份相關的隱私信息，如銀行卡號、用戶密碼、手機號碼等泄露所帶來的風險。”［4］

“由于云計算、云存儲具有虛擬化、多租戶、數據異地存儲、匿名等特點，這也給不法分子提供了許多犯罪的機會。比如借助云服務傳播惡意軟件、實施DDoS（distributed denial of service）攻擊、存儲非法數據等?！保?］為了打擊利用云服務實施的犯罪行為，警方利用云技術識別、獲取、分析、展示數字證據的行為稱為云取證。

云計算主要關涉信息的傳輸和存儲問題，所以如果解決了云計算過程中信息“傳輸”和“存儲”的隱私保護問題，即可解決云計算的隱私保護問題，在此基礎上，我們就可以進一步談論警察云取證的合法性（是否因為侵犯公民的云隱私而被依法排除）。本文將在考察美國的相關立法和司法判例的基礎上，對“警察云取證中個人隱私信息的保護問題”加以探討。

二、美國的相關立法和判例

（一）美國憲法第四修正案及其缺陷

眾所周知，美國憲法第四修正案規定，公民對其人身、住宅、文件和財產享有不受不合理搜查和扣押的權利。除非有合理的根據，以宣誓保證，并具體列明搜查地點和扣押的人或物，否則不得簽發搜查令和扣押令。美國最高法院承認，憲法第四修正案的主要功能是保護個人的隱私和尊嚴，防止國家或政府的無證（無搜查令）侵入?？梢哉f，第四修正案在保護美國公民隱私不受警察等政府執法人員不合理的侵犯方面功不可沒。

但是，其存在兩個方面的問題，一是主要適用于“物理侵入”時代的第四修正案能否適用于數字網絡時代的“電子侵入”，美國最高法院的態度不甚明了。因為網絡用戶在網絡上沒有現實世界中物理意義上的“房屋”和類似的個人空間。二是第四修正案只適用于警察等“政府執法人員”非法侵犯公民個人隱私的情形，而不適用于私人之間隱私侵權的情形。而云計算中隱私保護問題大多涉及提供云計算服務的當事人（私人）對云用戶隱私的不合理或非法的利用。因此，憲法第四修正案在此問題上無法適用。如在Jarrett 一案①中，法院判決認為，一名匿名黑客搜查被告電腦的行為屬于私人搜查行為，其不是警察或政府執法人員的代理人，因此無法適用憲法第四修正案。

對于第一個問題，美國最高法院在一系列的判決中認為，憲法第四修正案也可以適用于高科技時代的“電子侵入”。如在Jones 一案中，美國聯邦最高法院判決認為，警方在他人汽車上安裝、使用GPS 進行長時間的跟蹤構成憲法第四修正案意義上的搜查。因為GPS 可以詳細記錄個人行蹤，從而反映個人生活細節（個人隱私內容）②。在其他一些關于網絡信息傳輸的案例中，美國的下級法院判決認為，雇員對其傳輸的短信息享有憲法第四修正案之合理的隱私期待③。在另一則案例中，法院判決認為，被告對于存儲在其電腦硬盤上的信息享有合理的隱私期待，在該信息被傳輸后，其享有的隱私期待繼續存在④。

2014 年6 月，美國聯邦最高法院判決兩起警方搜查公民手機的案件，法院認為，警察搜查被逮捕者的手機需要事先獲得搜查令［6］，也就是說憲法第四修正案保護公民的手機不受警察等政府執法人員的非法搜查。此案表明，美國最高法院也愿意將憲法第四修正案適用于私人電腦、手機等電子存儲設備中隱私的保護。由此推理，憲法第四修正案當然也應該保護云計算中傳輸或存儲在第三方設備中的私人隱私信息，警方或政府執法人員獲取以上隱私信息時一般得事先申請搜查令。

雖然美國憲法第四修正案可以適用于網絡隱私的保護，但是又引出另外一個問題，即“第三方理論”（Third Party Doctrine）問題。當我們在接受云計算或云存儲服務時，我們會將個人的隱私信息披露給“第三方”（云計算服務提供方），而根據美國最高法院的相關判例，一旦隱私信息自愿披露給第三方，則個人即喪失對該隱私信息享有的合理期待，第三人可以將該隱私信息披露給警方或政府的執法人員。

“在Miller 一案中，政府執法人員向Miller 賬戶所在的銀行送達傳票，要求銀行上交所有涉及Miller 賬戶信息的文件記錄，因此成訴。美國聯邦最高法院判決認為，即使客戶和銀行約定，銀行要承擔賬戶信息的保密義務，但是，第四修正案無法阻止獲得信息的第三方（銀行）把該信息披露給政府執法人員。Powell大法官認為，銀行記錄不是個人秘密，而是銀行正常業務運作的商業文件；被告將其個人信息披露給第三方時，他就需要承擔第三方可能將該信息披露給政府執法人員的風險?！保?］“在Smith 一案中，在沒有搜查令的情形下，警察用筆式電子記錄器獲取了原告的電話號碼。美國聯邦最高法院判決認為，警方的行為不構成憲法第四修正案意義上的搜查。因為根據‘第三方理論’，在原告將其電話號碼自愿交給電話公司后，其就應該承擔電話公司可能向警方披露該信息的風險?！保?］

對于“第三方理論”存在的上述問題，“在Smith 案中持異議的大法官Marshall 認為，在公民實際上沒有選擇的情況下，為了特定的商業目的‘自愿地’將個人相關信息（電話號碼、個人金融信息）交付給第三方時，其不應該承擔該信息被第三方披露的風險”［7］?！霸贘ones 案中，大法官索托馬約爾認為，對于‘第三方理論’，即個人對于其自愿向第三方披露的隱私信息不再享有合理的期待的觀點，并不適合網絡數字時代。為了獲得網絡服務人們將瀏覽的網頁地址，以及通信的電子郵件地址披露給網絡服務商；將其在網絡上購買的書籍、雜貨和藥物信息披露給網絡零售商。也許有人認為，用隱私權換取相關服務是值得的，或者他們抱著‘不可避免的’心態接受這種‘隱私權的減少’。但我并不認為針對限定用途而自愿向第三方披露的所有信息，會因為‘第三方理論’而被剝奪第四修正案的權利?！保?］

我們以為，基于“Miller”案和“Smith”案產生的“第三方理論”只適應于現實社會，而不能適用于網絡社會。當我們接受網絡公司的云服務，自愿地將個人信息披露給網絡公司（第三方）時，我們對該披露信息是享有隱私權的，我們也相信第三方能夠保護該信息不被非法披露（個人主觀要件），而且法律、行業倫理和社會公眾也要求第三方采取合理措施保護這些信息（社會客觀要件）。另外，“第三方理論”賦予警方或政府執法人員太強的執法權，這雖然有利于政府打擊違法犯罪活動，但是卻不利于保護公民的隱私權，也不符合民主社會限制權力的精神。因此，“第三方理論”不符合數字網絡時代的隱私保護要求，需要加以修正。

為了克服第二個問題，即憲法第四修正案只適用于警方或政府執法人員非法侵犯公民個人隱私的情形，而不適用于“私人”之間的隱私侵權，美國國會又制定了電子通信隱私法案（ECPA），試圖以此規制私人侵犯用戶隱私信息的行為，以保護個人對其電子通信享有合理的隱私期待。

（二）美國電子通信隱私法案（ECPA）

為了保護公民的電子通信隱私，20 世紀80 年代，美國制定了一系列的法案。如，竊聽法案（Wiretap Act）、通信存儲法案（the Stored Communication Act，即SCA）、筆記錄器法案（the Pen Register Statue）。此三個法案中與云計算關系最密切的是“通信存儲法案”，該法案限制警方或政府執法人員迫使網絡服務商向政府提供其存儲的用戶信息；限制網絡服務商自愿地向政府和非政府人員提供其存儲的用戶信息。不過，該法案又將存儲信息分為：電子傳輸服務信息和遠程計算機服務信息，不同的信息類別可以獲得不同的保護。

“通信存儲法案”在制定時（1986 年），主要規制的對象是電子數據的傳輸和電子郵件。該法案將“電子傳輸服務”定義為：任何向用戶提供發送和接收電報或電子信息傳輸的服務。將“電子存儲”定義為：在電子傳輸過程中，任何暫時存儲和中間存儲的電報或電子郵件，并且其存儲目的是為了備份。對于這些傳輸的用戶通訊信息，如果警方或政府執法人員想要獲取，必須向法庭申請司法令狀（a court order）。該令狀的申請必須符合以下條件，即有確切證據表明，政府執法人員有合理的根據相信該存儲的信息的內容與正在調查的犯罪有實質性的關聯。

該法案將“電子存儲”信息分為：對正在傳輸的信息進行暫時存儲和中間存儲的信息；為了備份而對傳輸的信息加以存儲的信息。如果用戶沒有撤回一個電子數據的傳輸，則該電子數據就屬于“電子存儲”，因為該信息被服務商在傳輸的過程中進行暫時存儲和中間存儲。在服務中斷時，如果服務商仍然復制了沒有打開的電子數據，則這種復制也屬于“電子存儲”，以上這些“電子存儲”都可以得到該法案的保護。有爭議的是，傳輸的數據已經被用戶打開，但該數據仍然存儲在服務商處以供用戶在其他時間使用時，該數據是否仍然受該法案的保護。對于該問題，美國的法院判決意見不一。

在Jennings 一案⑤中，法院判決認為，已經打開，但仍然存儲在網絡服務商處的電子郵件屬于“備份”行為。該“備份”行為就是為了用戶在打開該電子郵件后，能夠在所需時再次使用該電子郵件，因此，該電子郵件受到此法案的保護。在Crispin 一案中，法院判決認為，一個電子郵件服務商和兩個社交網站屬于電子通信服務商，其提供的信息傳輸存儲服務受該法案的保護⑥。美國聯邦第九巡回法院在一則案例中也認為，網絡服務商復制其傳輸的數據是為了備份，為了用戶以后所需。因此，該數據屬于“通信存儲法案”保護的對象，警察或政府執法人員必須獲得搜查令才能獲取。⑦

一個明顯的事實是，電子郵件系統大都基于網絡運用和遠程服務，這點與云計算非常相似，即該用戶可以在任何地方通過網絡查看、下載存儲在電子郵件服務商處的電子郵件。遠程計算機服務（或云計算）的主要功能之一就是為用戶提供遠程存儲信息服務，而不僅僅是為了備份。因此，如果嚴格按照“通信存儲法案”中“電子存儲”之“備份”的要件，云存儲顯然不能獲得“通信存儲法案”的保護。所以我們主張，在解釋該法案時，應該做廣義解釋，即電子信息的存儲不能僅僅以“備份”為目的，而應將云計算、云存儲的信息傳輸和存儲行為都涵蓋進去。這也是美國學界要求修改“通信存儲法案”的原因之一。

（三）美國法院關于電子通信傳輸隱私的相關判例

關于云計算中隱私保護的判例在美國還比較少，我們只能收集到與云計算相關或相似的判例，試圖從側面考察美國法院對待云計算之隱私保護的態度。

在一則案例中，法院判決認為，對鍵盤記錄的信息的侵入，不屬于“竊聽法案”（Wiretap Act）保護的電子傳輸行為，因為該“傳輸行為”屬于電腦內部的傳輸行為，沒有超出電腦本身的范圍⑧。在Ropp 一案⑨中，被告被控違反了“竊聽法案”，因為被告在他人電腦鍵盤與主機之間安裝了一個竊聽裝置，該裝置能夠使被告竊聽到電腦鍵盤與主機之間的信息交流的內容。在該電腦從事上述信息交流時，該電腦還連接了互聯網，但是該鍵盤記錄的信息還沒有被操作者發送到網絡。原告一方認為，該被竊聽的信息屬于“竊聽法案”保護的電子傳輸行為，因為該電腦已經連接上了互聯網。但是，法院認為，該信息仍然存儲于電腦內部，不屬于傳輸行為。因此，被告的行為不屬于對“正在傳輸的信息”的非法侵入，因為該信息還沒有被發送。

在Steiger 一案⑩中，被告被控從事兒童色情犯罪活動，其證據主要來自一位黑客對被告電腦的入侵。該黑客在被告的電腦上安裝了間諜軟件，窺視到被告的犯罪行為后，聯絡了警方，在獲取搜查令后，警察逮捕了Steiger。在庭審中被告要求法院排除該案證據，因為該證據的獲取是黑客的非法入侵行為的“毒樹之果”。法院判決認為，該案不適用憲法第四修正案，因為非法侵入行為是黑客的私人行為，而不是警方的執法行為。被告又主張，該案黑客的行為違反“竊聽法案”，構成非法侵入“傳輸”中的信息。法院則認為，黑客獲取的信息是“存儲”在被告電腦中的信息，而不是正在“傳輸”中的信息，而“竊聽法案”管制的是：禁止獲取正在“傳輸”中的信息的內容。

在Councilman 一案?中，被告是一個公司的處理珍本圖書的官員，其主要職責就是接收和處理訂閱者的電子郵件。因為其命令手下雇員侵入并復制“亞馬遜公司”發送給客戶的電子信息，以此使自己在競爭中處于優勢地位。被告被指控違反“竊聽法案”，侵入正在“傳輸”的電子信息。美國聯邦第一巡回法院判決認為，當獲取正在被“傳輸”的電子信息時，即構成侵入行為，即使該信息被存儲，只要存儲的信息與被傳輸的信息是相同的，因此被告的行為違反“竊聽法案”。該法院的判決意見被描述為“同一性”標準，即存儲中的信息和傳輸中的信息是否“同一”。

在O’Brien v.O’Brien 一案?中，O’Brien 夫人在其丈夫使用的電腦上偷偷安裝了間諜軟件，該軟件記錄了其丈夫與一位女人的之間的短信息和電子郵件通信，該被記錄的信息在后來的離婚案件中被作為證據使用。丈夫認為，該信息的獲取是非法，主張法院依法排除這些信息。妻子認為，該信息在被獲取前，處于存儲狀態，因為一旦該信息出現在電腦屏幕上時，傳輸即告結束，因此，其行為不構成對“傳輸”中的信息的侵入。法院判決認為，該信息被非法侵入了，因為妻子安裝的間諜軟件侵入了正在傳輸中的電子信息，復制并且存儲在該電腦的硬盤上。

總之，在美國，當信息存儲在個人電腦中時，其可以獲得憲法第四修正案的保護，以阻止警方或政府執法人員的非法搜查，但是，其不適用于私人搜查的情形。當信息處于傳輸過程中時，該信息可以獲得“竊聽法案”的保護，以阻止警方或政府執法人員和私人的非法侵入。一旦該信息傳輸結束，被存儲時，其只能獲得“通信存儲法案”的有限保護。而云計算主要涉及隱私信息的“傳輸”和“存儲”，因此，云計算之隱私信息在美國還是可以得到相應的保護的，只是涉及的法律比較復雜，同時又充滿爭議。

三、云計算之隱私信息保護的合法性論證

在美國學界看來，云計算中云用戶隱私信息的保護并非理所當然，而是需要推理論證的，也就是說，在國內學者看來理所應當的東西，美國學者卻總是先質疑，后論證。

（一）電子郵件理論

在美國，個人對電子郵件的隱私，法院的態度經歷了從不保護到保護的過程。在Guest 一案?中，法院判決認為，根據“第三方理論”，個人對已經發送并到達接收者郵箱的電子郵件，不享有合理的隱私期待，因為其已經“自愿”地將該郵件的內容披露給了電子郵件服務的提供商。

在Jackson 一案?中，美國聯邦第五巡回法院判決認為，未被授權而獲取他人未讀電子郵件的行為違反“通信存儲法案”。當未讀電子郵件處于接收者郵箱等待反饋時，該電子郵件不受非法侵入，雖然此時該電子郵件被其用戶存儲在第三方的網站。在Forrester一案?中，法院判決認為，電子郵件與普通的紙質郵件一樣，有第三人可以看見的郵件地址，有封閉的不為外人所見（只能由收件人閱讀）的內容。紙質郵件的內容受憲法第四修正案的保護，電子郵件的內容亦然，而郵件地址則無法享有此種待遇。在Warshak 一案?中，美國聯邦第六巡回法院認為，公民存儲在網絡信息服務商處的電子郵件受美國憲法第四修正案的保護。在此案中，警方根據“通信存儲法案”的相關規定申請了行政傳票（非搜查令），并從兩個電子郵件服務商處獲取了Warshak 的許多電子郵件，以指控其犯有銀行欺詐的罪行。法院認為，Warshak 對其電子郵件享有憲法第四修正案保護的合理的隱私期待，警方必須獲得“搜查令”才能獲取Warshak 的電子郵件。

在論證用戶對電子郵件的內容享有合理的隱私期待后，我們就可以推論出：個人對其使用云服務傳輸和存儲的私人信息享有合理的隱私期待。因為電子郵件的使用基本上包含了發送、接收、存儲等電子傳輸和存儲行為。所以可以說，電子郵件是云計算的最原始的階段，如果在該階段個人的隱私信息能夠得到保護，為什么到了其高級階段，個人的隱私反而得不到保護呢？

（二）承租人理論

在美國，有學者認為，應該將云計算服務看作是第三方提供的“保管箱”服務。在此服務中，用戶可以在云服務商提供的安全存儲裝置（相當于現實社會中的保管箱或租賃的房間）中存儲個人的隱私信息。在Thomas 一案?中，法院認為，銀行的客戶對其租賃的銀行的安全存款箱享有隱私權，因此警方必須獲得搜查令才能搜查該存款箱。

在一則案例中，法院判決認為，雖然出租人有權進入承租人租賃的房間。但是，在承租人不在時，在沒有申請搜查令的情形下，警方經出租人同意搜查承租人房間的行為違反了憲法第四修正案。?在Stoner一案?中，法院判決認為，雖然酒店的管理人為了履行職務，可以進入顧客的房間，但是警方必須申請搜查令才能進入，警方無搜查令搜查顧客酒店房間的行為違反了憲法第四修正案。在Olson 一案中，警方在沒有申請搜查令的情形下，未經被告同意進入其僅僅租用一天的房間，并將其逮捕。美國聯邦最高法院判決認為，警方的行為違反了憲法第四修正案，因為被告與其租住的住房有足夠的聯系，足以認為其就是房間的主人。?

根據“承租人理論”的相關判例，雖然銀行、酒店、房屋等出租人可以查看保險箱或進入承租人的房間，但是承租人仍然對其承租的保險箱和房間享有合理的隱私期待。既然承租人對其承租的第三方提供的“保險箱”“酒店房間”等享有合理的隱私期待，為什么云用戶就不能對其承租（雖然有些服務是免費）的云服務商提供的存儲設備（賬戶）享有合理的隱私期待呢？

（三）封閉的容器理論

在美國的司法實踐中，一般將背包、公文包、行李箱等當作“封閉的容器”看待，公民對此“封閉的容器”享有合理的隱私期待。

“在Freire 一案中，美國聯邦第十巡回法院判決認為，公民對其公文包里的物品享有合理的隱私期待，即使當其將該公文包交給信任的朋友保管時，也不喪失對公文包享有的合理的隱私期待?！保?］“在Chadwick一案中，美國聯邦最高法院判決認為，公民對其上鎖的行李箱享有合理的隱私期待，其不受警方或政府執法人員的非法搜查?！保?］在另一則相似的判例中，美國聯邦第八巡回法院認為，公民對背包和錢包里的物品享有隱私權，并受憲法第四修正案的保護?。

美國的法院一般也把電子存儲設備當作一個“封閉的容器”，不過，不同的法院判決也有不同?！霸赗u?nyan 一案中，美國聯邦第五巡回法院的判決就把一個磁盤當作一個封閉的容器。在Emerson 一案中，法院把計算機文件，而不是個人文件夾當做封閉的容器。在D’Andrea 一案中，法院將網站類推為一個可以存儲記錄的檔案柜或者物理性容器。”［10］因此，我們以為，私人電腦硬盤、手機存儲卡、網絡賬戶、云盤等電子存儲設備（特別是設有密碼的設備），都應當像上鎖的其他“封閉的容器”一樣得到憲法第四修正案的保護。

（四）市場發展理論

“在2014 年中國互聯網大會上，微軟公司大中華區董事長兼首席執行官賀樂賦認為，85%的用戶對云服務的隱私性有著極高的需求，所以我們行業一定要尊重隱私，同時作為可信賴的合作伙伴為客戶提供服務?！保?1］由此我們認為，加強云服務中的隱私信息保護是基于網絡經濟發展的需要，特別是“互聯網+”新經濟模式?。全球云服務發展迅速，2011—2015 年，全球云服務市場規模增長了近四倍，2015 年突破1800 億美元［12］。可以說，在某種程度上，網絡經濟（電子商務、社交網絡、云計算等）得到快速的發展與其配套的隱私保護政策分不開。較強的隱私保護是云服務提供者必須承擔的法律義務和行業倫理責任，這也是云服務能夠繼續加速發展的法律根基。

另外，如果一個國家的法律不對云服務中的隱私信息提供法律保護，僅僅依靠市場的力量是無法保護個人隱私信息的。因為提供云服務的大都是世界或各國的互聯網巨頭，單個云用戶和云服務提供者之間巨大的議價能力差異，使得兩者之間約定的保護隱私的協議，往往不利于云用戶。退一步講，即使有保護云用戶隱私信息的協議，協議也只能約束雙方當事人。對于黑客（第三方）的入侵，對于政府執法人員的搜查等行為，隱私保護協議無能為力。因此，我們以為，如果沒有國家立法強制性保護云用戶的隱私信息，云計算的前途命運堪憂，因為安全和隱私保護問題已成為用戶考慮是否選擇云服務的決定性因素。

四、我國關于云服務隱私保護的相關論述及結論

（一）相關學說論述

國內學者關于“云隱私”保護的論述主要集中在兩個方面：一是云技術對個人信息隱私帶來的風險。二是如何規制上述風險，保護個人的云隱私。

有學者認為，目前云存儲數據存在以下風險：“云端數據自身特征危及數據安全；缺乏對云存儲服務提供商的責任及義務規制；數據終端用戶引致的數據安全風險；應用軟件缺乏統一的安全認證標準。”為了應對以上風險，該學者提出若干規則：確立網絡服務提供者對云存儲數據安全的保護責任及義務；制定用戶濫用數據信息的處罰機制；構建應用軟件行業的標準體系及軟件安全認證制度；建立數據安全保護的雙重強制認證機制；構建網絡數據監測及預警制度。［13］也有學者提出了云計算環境下完善個人信息保護的對策：促進云安全技術的發展，為個人信息保護奠定技術基礎；健全相關法律法規，為云計算用戶的個人信息保護提供法律依據；建立完善的云計算標準體系，保障個人信息安全；加強行業自律與自我監督［14］。

以上學者的論述很少涉及“云存儲信息的隱私性”，不像美國學界和司法界那樣花費大量篇幅論證信息主體對其存儲在云服務商處的個人信息享有合理的隱私期待。國內學者大都認為，個人對其存儲在云服務商處的信息享有隱私權，此點毋庸置疑。云計算給個人信息隱私帶來風險，為了應對此風險，人們大都建議從法律、技術和行業等方面保護個人的云隱私。下面我們主要論述我國的相關法律對云隱私可能提供的保護。

（二）相關立法論述

目前，在我國還缺乏關于云隱私保護的判例和專門立法。雖然我國《憲法》第四十條規定，中華人民共和國公民的通信自由和通信秘密受法律的保護。但是，云服務（云用戶與云服務商之間傳輸和存儲信息的行為）中的隱私保護問題顯然不屬于傳統意義上的“通信”（朋友、親屬等之間交流感情或信息的行為）。云服務的目的主要是為個人的私人信息提供存儲服務，便于個人對該存儲信息的利用，因此云隱私的保護不適于《憲法》的此條規定。

雖然我國《刑法》第二百五十二條規定了侵犯通信自由罪，即隱匿、毀棄或者非法開拆他人信件，侵犯公民通信自由權利，情節嚴重的行為。但顯然，該規定只適用于傳統的郵件（紙質），而無法適用云通訊中云隱私的保護。

2009 年2 月，全國人大會常務委員會通過了“刑法修正案七”，增加了“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金”的規定。該修正案的主要問題是“犯罪主體的限定”，即該犯罪的主體僅限于“國家機關或者金融、電信、交通、教育、醫療單位”等，而云服務的提供者遠遠超過了該范圍。

2015 年8 月，全國人大會常務委員會通過了“刑法修正案九”，將刑法第二百五十三條之一修改為：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，將追究其刑事責任。”“違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰?！薄案`取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。”該修正案沒有像“刑法修正案七”那樣對犯罪主體做特定限制，因此該修正案的規定從側面確認了云用戶的隱私權。2017年5 月，最高人民法院、最高人民檢察院發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，其中第二條規定：違反法律、行政法規、部門規章有關公民個人信息保護的規定的，應當認定為刑法第二百五十三條之一規定的“違反國家有關規定”。由此，云隱私的刑法保護的前提是：必須有“國家有關規定”。

2016 年11 月，我國通過了《網絡安全法》，該法的第四章“網絡信息安全”詳細規定了個人信息保護的原則和具體內容，為網絡運營商保護個人云隱私提供了法律依據?！毒W絡安全法》為個人信息的刑法保護提供了“法律前提”，使其有法可依，也為侵犯個人的云隱私的行為提供了行政法的救濟。2020 年5 月28 日通過了《中華人民共和國民法典》，其中《人格權編》加大了對公民隱私權的保護力度，構筑了個人信息保護的防火墻。其完善了個人信息的法律定義，明晰了處理個人信息的內涵、原則和條件，嚴格限制處理個人信息免責事由，保障信息主體的便正權與刪除權，強化了處理者的信息安全保障義務，明確了機關、機構及人員的保密義務。該法典以民事基本法的形式為侵犯個人的云隱私的非法行為提供了民事法律的救濟。

以上這些法律從側面為我國云用戶的云隱私提供民法、行政法和刑法的保護。但令人遺憾的是，還沒有專門針對保護云隱私的法律法規，也缺少學者專門討論云隱私的合理性。

總之，我們認為，在我國，云用戶在接受云服務時，其傳輸和存儲的隱私信息應該得到法律的保護，云服務商應該盡其所能采取安全措施保護云用戶的隱私安全，除非正常業務需要，否則不得非法侵入和泄露該隱私信息，警方或政府執法人員在進行云取證時必須事先申請數字搜查令。我們可以借鑒美國學者Couillar 根據美國的司法實踐提出保護云隱私的若干法律建議［15］，如下：

一是法院應該承認公民對互聯網通信享有的合理的隱私期待。這就要求法院將所有的關涉網絡通信（信息傳輸、運算、存儲等）的隱私都納入合理的隱私期待的保護范圍，比如手機短信、即時通訊的內容、電子郵件、社交媒體賬戶、云計算等等。

二是法院應該接受“虛擬容器理論”以規范其互聯網的隱私評估，并承認虛擬的存儲行為的合理的隱私期待。這就要求法院將上述的網絡通訊工具當做封閉的容器（設有密碼的云盤、電腦、手機等），并賦予其憲法第四修正案的地位。

三是法院應該把互聯網服務提供者當作虛擬的房東，縮小“第三方理論”在網絡上的適用范圍，比如政府不能僅僅依靠“第三方理論”就對網絡上的私人賬號實施搜查，其行為必須受到憲法第四修正案的限制。

四是為了抓住機遇，快速發展云經濟，促進“互聯網+”新經濟模式的健康發展，法院在受理警察云取證與云用戶的隱私的糾紛時，也應該更多地保護云用戶的隱私。由于云隱私受法律保護，權利人對其享有合理的隱私期待，這也同時構成了警方采用云技術取證的限制，即由于公民對云服務中傳輸或存儲的信息享有合理的隱私期待，警方在進行云取證時必須遵守法定程序，否則就可能因為侵犯公民的云隱私，而被法院依法排除。

注釋：

① United States v. Jarrett，338 F. 3d 339，346-47（4th Cir.2003）.

② United States v.Jones，565，U.S.（2012）.

③ Quon v.Arch Wireless，529 F.3d 829，910（2010）.

④ State v.Bellar，217 P.3d 1094（Or.Ct.App.2009）.

⑤ Jennings v. Jennings，697 S. E. 2d 671（S. C. Ct.App.2010）.

⑥ Crispin v.Christian Audigier，Inc.，717 F.Supp.2d 965，987（C.D.Cal.2010）.

⑦ Theofel v.Farey-Jones，359 F.3d 1066（9th Cir.2004）.

⑧ United States v. Scarfo，180 F. Supp. 2d 572（D. N.J.2001）.

⑨ United States v. Ropp，347 F. Supp. 2d 836-37（1st.Cir.2004）.

⑩ United States v.Steiger，318 F.3d 1039（11th Cir.2003）.

? United States v. Councilman，418 F. 3d 67，70（1st.Cir.2005）.

? O’Brien v. O’Brien，899 So. 2d1133，1137（5th Fla.Dist.Ct.App.2005）.

? Guest v.Leis，255 F 3d.325，333-36（6th.Cir.2010）.

? Steve Jackson Games，Inc. v. U. S. Secret Service，36 F.3d 457，462-63（5th Cir.1994）.

? United States v. Forrester，512 F. 3d 500，511（9th. Cir.2008）.

? United States v. Warshak，631 F. 3d 266，274（6th . Cir.2010）.

? United States v. Thomas，1989 WL 72926，at*2（6th Cir.July 5，1989）.

? Chapman v.United States，365 U.S.610，616-18（1961）.

? Stoner v.California，376 U.S.483，489（1964）.

? Minnesota v.Olson，495 U.S.91.110 S.Ct 1648，109 2d 85（1990）.

? Doe ex rel. Doe v. Little Rock School Distric，380 F. 3d 349，351（8th Cir.2004）.

? 即利用數字信息技術以及互聯網平臺，讓互聯網與傳統行業進行深度融合，創造新的經濟生態。